Blog WatchGuard

Como evitar um ataque de rootkit antes que seja demasiado tarde?

Um rootkit é um programa de software malicioso que ajuda os cibercriminosos a infiltrarem-se num sistema e a assumirem o seu controlo. Os hackers utilizam rootkits para espionagem, roubo de dados, implementar outro malware como o ransomware, e tudo isto sem deixar rasto. Assim que um rootkit é instalado num dispositivo, pode intercetar chamadas de sistema, substituir software e processos e fazer parte de um kit de exploração maior com outros módulos, como keyloggers, malware de roubo de dados ou mineração de criptomoedas.

No entanto, estes tipos de programas são difíceis de desenvolver, uma vez que requerem tempo e dinheiro para serem criados. Assim, a maioria dos ataques baseados em rootkit estão associados a grupos avançados de ameaça persistente (APT), uma vez que têm as competências e recursos para desenvolver esta forma de malware. Como resultado, eles tendem a selecionar alvos de elevado valor tanto para ataques com motivação financeira e baseados em espionagem. 

Um estudo que analisa a evolução e utilização de rootkits para realizar ciberataques revelou que, em 56% dos casos, os cibercriminosos utilizam este software para atacar indivíduos de alto perfil, tais como funcionários de alto nível, diplomatas ou empregados de organizações que são atrativas para os hackers. Em termos dos sectores mais visados por estas ameaças, as instituições governamentais ocupam o primeiro lugar (44%), seguidas por institutos de investigação (38%), operadores de telecomunicações (25%), empresas industriais (19%) e organizações financeiras (19%). 

O estudo também mostrou que os rootkits são frequentemente difundidos através de táticas de engenharia social, particularmente através da utilização de phishing (69%) e da exploração de vulnerabilidades (62%). 

Tipos de Rootkit

Existem três tipos de rootkits que são classificados de acordo com o nível de privilégios obtidos. São os seguintes:

  • Kernel-mode rootkits: este tipo de rootkit funciona ao nível do kernel, pelo que tem os mesmos privilégios que o sistema operativo. São concebidos como controladores de dispositivos ou módulos carregáveis. O seu desenvolvimento é complicado, uma vez que um erro no código fonte pode afetar a estabilidade do sistema, tornando o malware evidente. 
  • User-mode rootkits: este tipo de rootkit é mais simples de desenvolver do que o modo kernel, uma vez que são necessários menos precisão e conhecimento para os conceber, pelo que são normalmente utilizados em ataques massivos. Estes rootkits operam com menos privilégios, embora possam intercetar chamadas de sistema e substituir os valores devolvidos por APIs e aplicações para obter o controlo da máquina.
  • Combined Rootkits: estes tipos de rootkits são concebidos para combinar ambos os modos de operação e atuar a ambos os níveis. 

Durante o Outono de 2021, o grupo norte-coreano Lazarus conduziu uma campanha de implantação de rootkit que visava um funcionário de uma empresa aeroespacial na Holanda e um jornalista político na Bélgica. Ambos os alvos foram contactados com oportunidades de emprego para uma empresa de prestígio e enviaram documentos anexados com a suposta oferta de emprego. Um deles recebeu-a através do LinkedIn e o outro através de email. No entanto, a abertura dos ficheiros desencadeou uma série de ataques.

Segundo os investigadores deste caso, que revelaram as suas conclusões em setembro deste ano, o incidente mais marcante foi um módulo rootkit que explorou uma vulnerabilidade nos drivers de dispositivos Dell para ganhar a capacidade de ler e escrever memória kernel. 

Como proteger o seu negócio contra este tipo de ataques? 

Embora este tipo de ameaça seja concebido para evitar a deteção, existem soluções capazes não só de a detetar, mas também de a conter e bloquear. Os dispositivos WatchGuard Firebox incluem três funções avançadas capazes de identificar e parar este malware: 

  • Bloqueador APT: esta tecnologia sandbox pode detectar o rootkit mesmo antes de este aceder ao sistema. Analisa o comportamento para determinar se um ficheiro é malicioso, identificando e enviando ficheiros suspeitos para uma sandbox baseada na cloud, que emula a execução e analisa o código do ficheiro. Se o ficheiro for malicioso, o APT toma medidas e bloqueia-o para proteger a rede. 
  • Defesa de malware com Inteligência Artificial: é concebida para identificar ameaças através da decomposição de milhões de ficheiros nas suas componentes fundamentais e, depois, analisar as características de cada um em combinação para identificar indicadores de intenção maliciosa. Se for detetado malware, o ficheiro é bloqueado antes de ser executado.
  • Visibilidade na cloud: com ataques de rootkit, é importante ter total visibilidade da rede para analisar as anomalias. Isto permite uma exploração aprofundada de acordo com a informação detalhada contida nos relatórios gerados pela plataforma.

Os cibercriminosos podem ser muito engenhosos quando se trata de levar a cabo ameaças profissionalizadas, mas ainda podem ser travados. A chave é proteger as redes empresariais com soluções apropriadas que possam parar os ataques de rootkit antes que seja demasiado tarde.